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Niet alleen staatsinstanties registreren nauwgezet je handel en wandel. 
Ook je besturingssysteem en allerlei services en toepassingen houden 
vaak bij wat je allemaal uitvoert. Ze gebruiken daarvoor gedetailleerde 
logboeken, die vooral bij problemen hun nut bewijzen. # ceoric meskens 


J e zou ervan versteld staan wat je pc allemaal bijhoudt 
tijdens een doordeweekse computersessie. Neem nu 
een onschuldig bezoek aan een website. Om te beginnen 
houdt je browser standaard alle bezochte sites bij in zijn 
geschiedenis, belanden er heel wat gegevens bij de tijdelijke 
internetbestanden en worden er wellicht ook cookies op je 
schijf geplant. Het is evenmin uitgesloten dat je onderweg 
op een site botst die heimelijk een stukje malware in je sys- 
teem wil planten, wat je antivirusprogramma en firewall de 
nodige stof geeft voor hun eigen logs. En ben je wel zeker 
dat je ouders of partner stiekem geen keylogger hebben 
geïnstalleerd, die letterlijk elke toetsaanslag registreert? 
Behoorlijk paranoïde toestanden dus, en het hoeft dan ook 
niet te verbazen dat je via specifieke software — zoals het 
gratis CCleaner - allerlei logbestanden kan 
verwijderen. 

In dit artikel pakken we het anders aan: in plaats van log- 
boeken te verwijderen, willen we een aantal ervan nader 
bekijken. Ze kunnen namelijk ook erg leerzaam zijn. Waarom 
heeft Windows of een of andere toepassing er plots de brui 
aan gegeven, welke snoodaard probeerde je systeem te 
hacken, hoeveel gigabytes heeft zoonlief alweer opgesou- 
peerd en welke foute sites heeft hij dit keer weer ‘per on- 
geluk’ bezocht? Het antwoord vind je misschien wel in de 
logboeken. 


Van eenvoudig naar aartsmoeilijk. 


Niet alle logbestanden zijn even doorgrondelijk. 
Om je toch een indicatie te geven van de moei- aA A A 


lijkheidsgraad, werken we met potloden. 1 potlood 
betekent dat iedereen het logboek zou moeten 
kunnen begrijpen, terwijl je bij vijf potloden al 


een gevorderde computergebruiker moet zijn. 
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Windows logboeken 


Iedereen heeft het wel eens meegemaakt: Windows zwaait je plots uit met 
een bluescreen of een toepassing crasht telkens je die opstart. Begin dan 
de zoektocht naar de oorzaak in de logboeken van Windows. Het besturings- 
systeem houdt namelijk in alle stilte een reeks logboeken bij van belang- 
rijke systeemgebeurtenissen, inclusief de fouten. Open daarvoor het Win- 
dows CONFIGURATIESCHERM in KLASSIEKE WEERGAVE en klik achtereenvolgens op 
SYSTEEMBEHEER @en op LoGBoEKEN — of tik eventvwr.msc in bij Uitvoeren (XP) of 
ZOEKOPDRACHT STARTEN (Vista). 

In het volgende dialoogvenster krijg je links een overzicht van de verschil 
lende logboeken en rechts de inhoud van het geopende exemplaar. Loopt 
er iets spaak in Windows, dan kijk je best in het logboek Systeem, terwijl je 
bij een manke toepassing beter aanklopt bij Toepassina. Vista gooit er nog 
een paar logboeken bovenop: Setup, met gegevens over de installatie van 
nieuwe programma’s, en een aantal bij elkaar geharkte exemplaren in de 
rubriek LoeBoeKEN ToePASSINGEN EN Services. Daar vind je onder meer logboeken 
van Vista-tools als Backup, Readyboost en ParentalControls (ouderlijk 
toezicht). 


OP ZOEK NAAR DE FOUT 

Zoals je merkt, worden de gebeurtenissen in zo’n logboek standaard chro- 
nologisch opgelijst. Concentreer je vooral op de gebeurtenissen van het 
type Four en in mindere mate op die van het type WaarscHuwina. Met een 
dubbelklik op het bewuste item roep je een venster op met gedetailleerde 
informatie over de gebeurtenis. Je treft hier ook een link aan die je mo- 
gelijk naar enkele handige raadgevingen voert. Word je hier niet wijzer van, 
dan kan je altijd nog je licht opsteken door een deel van de foutbeschrijving 
als zoekterm in Google in te tikken — probeer je geluk zeker ook bij Google's 


[GT togboeken 
Bestand Actie Beeld Help 
«DAD 
Ú] togtoeken Goksal) 
Jp Aangepaste weergaven 
4 TW Windows-legboeken 


Datuen en tyd 


GA] Toepassing Wrou 22/11/2008 134801 Senicing 
(E] Beveging rou 18/01/2009 10-02-37 DistrbutedCOM 
rou 22/11/2008 134801 Servicing 
GREED, Orou 26/08/2008 19:07:07 ACPI 
Daongsssfirde gebeurter f {Prout 26/08/2008 19:07:07 ACPI 
« B Logboeken Toepassingen en [Orres rm ay En — = al 
El Gre baiaaae Gebeurteniseigenscheppen - Gebeurtenis 6, ACP x 
EE] OfS-repiatie Algemeen | Detsils 
(1 Hardvearegebeurtenissen 
(El Innernet Enplorer ARQARB: ACPIBIOS bevat geen IRQ voor het apparaat in PCI slat 4, functie 0. Neem contact op 
El Key Management Service met uw computerleverancier voor technische ondersteuning. 
EE] Media Center 
« À Mierosoft + 
2 Windows ns 
El Microsoft Office Diagnos), | togbeeknaam: Systeem 5) 
B] Macrosoft Offce Sessaons |, | Broe: ACPI Geregistreerd: 26/08/2008 19:07:07 atb 
4 Abonnementen Gebeurtenis-id: 6 Taakcategorie: Geen 
Niven Fout Trefwoorden: —_ Klassiek 
Gebruiker: mart. Computer: LaptopVista 


Online Help 


Windows — en vooral Vista — houdt in alle stilte een aantal logboeken bij. 


Heel wat lichtvoetiger van aard zijn de logboeken van Windows Live Mes- 
senger: hierin vind je gewoon alle MSN-gesprekken terug. Dat kan inte- 
ressant zijn als je bijvoorbeeld nog eens wil nalezen welke beloftes je 
gesprekspartner allemaal gedaan heeft. Open het menu van Windows Live 
Messenger en kies achtereenvolgens Extra, Opties. Ga vervolgens naar de 
rubriek BericHten; onderaan lees je waar de bestanden bewaard worden. 
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Start Windows niet meer op 
de normale manier op, probeer de log- 


boeken dan vanuit veilige modus op te 
starten: hou even de F8-toets ingedrukt net 
voor Windows opstart. 


DrscussiEGRoEPEN. Op deze manier hebben we zelf al vaker problemen weten 
te verhelpen. Of je noteert de informatie die je bij Bron en GEBEURTENIS-ID 
aantreft, waarna je een bezoekje brengt aan www.microsoft.com/technet/sup- 
port/eventserrors.mspx. Bij Microsorr Propuct selecteer je Winpows OPERATING 
System en vervolgens vul je de genoteerde gegevens in bij GEBEURTENISBRON 
en Io. De taal kan je op Durcn geselecteerd laten, maar de Engelstalige 
databank blijkt wel een stuk uitgebreider. Tot slot hoef je alleen nog op 
de knop Zoeken te drukken en hopen dat je waardevolle feedback krijgt. 


Logboeken via e-mail 


De aard van het beestje vereist natuurlijk dat je bij mogelijke problemen 
telkens zelf de logboeken moet induiken. Best vervelend, maar dat is 
buiten EventSentry www.eventsentry.com gerekend — waarvan je (na regi- 
stratie) trouwens ook een gratis Light-editie kan downloaden. We kunnen 
hier niet alle mogelijkheden van deze tool bespreken, maar als je na 
installatie de rubriek Packaaes, Event Loa Packages, DerauLr, WaRNINGs & Errors 
opent, beland je in een dialoogvenster, waar je zelf tot in de kleinste 
details kan instellen bij welk soort gebeurtenissen je bijvoorbeeld auto- 
matisch een e-mailtje wil ontvangen. 


Windows Live Messenger 


Blader vervolgens naar deze map. Daar tref je voor elke gesprekspartner 
een ander xml-bestand aan. Een dubbelklik volstaat om zo’n bestand in 
leesbare vorm te openen. De gevoerde dialogen krijg je netjes gepresen- 
teerd in chronologische volgorde. Wil je deze berichtgeschiedenis niet 
langer laten bijhouden, verwijder dan het vinkje bij GESPREKKEN AUTOMATISCH 
IN EEN BESTAND OPSLAAN in het Oprtres-venster van Windows Live Messenger. 
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Ouderlijk toezicht (Vista) î33js 


In Windows Vista zit een krachtige module voor ouderlijk toezicht. Natuurlijk hoort 
hier ook een uitgebreide rapportering bij. Open dus het Windows CoNFIGURATIESCHERM 
in CATEGORIEWEERGAVE en klik op OuperLIJK TOEZICHT VOOR ELKE GEBRUIKER INSTELLEN, Waarna je 
een van de (standaard)accounts van je kinderen selecteert. In het volgende venster 
stip je de optie INGESCHAKELD: HUIDIGE INSTELLINGEN DOORVOEREN aan. Wil je logs van het 
internetgebruik van je kind bijhouden, vink dan zeker ook INGESCHAKELD: INFORMATIE 
OVER COMPUTERGEBRUIK VERZAMELEN aan. Vervolgens kan je het Ouderlijk toezicht finetunen 
door de links Winpows VristA-WEBFILTER, TIJDSLIMIETEN, SPELLEN @n SPECIFIEKE PROGRAMMA'S 
TOESTAAN EN BLOKKEREN aan te klikken. Ons interesseert echter vooral de rapporte- 
ringsfunctie, en die is heel erg uitgebreid. Meld je aan met je eigen account, open 
opnieuw de module voor Ouderlijk toezicht en klik op AcTIvrtEITENRAPPORT WEERGEVEN. 
Je krijgt voor elk gemonitord kind een indrukwekkend aantal (sub)rubrieken te 
zien, waaronder de top 10 van de bezochte websites, de 10 meest recent geblok- 
keerde sites, welke games hij heeft gespeeld, welke bestanden hij heeft proberen 


Gorte Ouderlijk toezicht » Gebruiesteree =| és ÏÌ Zoete 


Instellen hoe Kindlief de computer gebruikt 


Ouderlijk toescht- 
© ingeschakeld: hunsge imtelingen deervoeren 
Uagerchakald 


aeuseenenvappeange 
® ingeschakeld: indormerse over computergebruà 
versen 


Uegeschakeld EE, — ja 
Winden estelingen nn 
Ulas, Vatanwetditen Tijdslerveten: 
B reenerere veorten deneiceas en ander gebruik specie 
geen 


me Pregrammakegertangen: _ungeschateld 
Ö Bepalen manneer Gndief de computer mag gebruiken 


pellen 
b4 Spellen beheren op bass van classica, houd ct naam 


A Egem pagi ep on corp eerd Volg de digitale 
exploten van 
ZE je kind op de 
voet… 


te downloaden, enzovoort. Hou er wel rekening mee dat Vista zo’n rapport alleen van de laatste 7 dagen bijhoudt. Wel is het op elk moment 
mogelijk het rapport op te slaan in html-formaat en bij te houden via de link Rapport MAKEN. 


Windows Firewall : 


am D 


1 aa 
kkk 
De firewall in Windows XP en Vista is in de eerste plaats bedoeld om indringers 
buiten te houden, hoewel in Vista ook ongewenst verkeer in omgekeerde richting 
(van binnen naar buiten) kan worden geblokkeerd. Standaard houdt deze firewall 
geen logboek bij, maar je kan dat wel instellen. In Windows XP open je hiervoor 
het ConFIGURATIESCHERM en selecteer je Winpows FrrewarL. Ga naar het tabblad GeAvan- 
CEERD en druk op de tweede knop INnsteLLineen. Via de knop Opstaan aLs leg je de 
locatie van het logboek vast en met vinkjes geef je te kennen of je alleen de 
verloren pakketten wil registreren of ook de geslaagde verbindingen in het log- 
boek. In Vista ga je enigszins anders te werk. Tik de opdracht firewall in bij Zoek- 
OPDRACHT STARTEN @n klik in het startmenu op de optie Winpows FIREWALL MET GEAVAN- 
CEERDE BEVEILIGING. In het middenpaneel klik je vervolgens op de link ErGENSCHAPPEN 
VAN WinDows FrrEwALL. Open nu het gewenste firewallprofiel (bijvoorbeeld: OpEnBAAR 
proFIEL) en druk op de onderste knop Aanpassen: je krijgt nu ongeveer dezelfde 
opties te zien als bij XP. 
Het logbestand zelf kan je eenvoudigweg openen met je Kladblok (of in Excel) — 
desnoods kopieer je het eerst naar een andere locatie. Je kijkt echter wel tegen 
vrij cryptische formuleringen aan als “2009-02-01 18:50:32 DROP TCP 147.46.10.58 
84.198.183.112 2089 57163’. Goed om weten is alvast dat het eerste ip-adres 
(147.46.10.58 in dit geval) afkomstig is van de broncomputer (waar dus het verkeer 
vandaan kwam). Tik je dit adres in op dan kom je normaliter te 
weten wie dat ip-adres heeft geregistreerd (in ons voorbeeld blijkt dat de uni- 
versiteit van Seoul te zijn). Het cijfer achteraan (57163) is de poort waarlangs de 
indringer (?) toegang zocht tot je pc. Sommige poorten blijken erg populair bij 
Trojaanse paarden en andere ongein. Zoek in Google maar eens naar port trojan: 
je krijgt dan meteen een reeks sites 
EE opgelijst die verdachte poortnummers 
aten Dell sten Ui losbeakienanee hebben verzameld en becommentari- 
Omen eerd. Zo blijkt poort 57163 wel vaker 
does voorhet eben gebruikt te worden door Trojaan Black- 
Naam: Rat... 


| C:AWINDOWS\pfirewall log [ Opslaan als… ] 


Max grootte{kB). [soe =| 


miled 


Logboekinstellingen 


Standaard houdt Windows Firewall 
geen logboeken bij. 


Andere firewalls 


Ook andere firewalls houden informatie bij in hun logboeken. 
Neem nu het populaire ZoneAlarm Free Als je 
hier het hoofdvenster opent en Aert & Loes, Log Viewer selecteert, 
krijg je net zo goed ip-adressen en aanverwante technische ter- 
men naar je hoofd geslingerd. Het grote verschil met Windows 
Firewall is dat ZoneAlarm elk item een veiligheidsindicatie (rating) 
meegeeft, zodat je beter weet waar je moet op focussen. 


Internetverkeer dad: 


mp 
mp 
am Db 


De ledjes op je router flikkeren 
soms wild om zich heen, terwijl je 
niks aan het downloaden bent? Of je 
provider stuurt je een mail met de 
melding dat je downloadlimieten al- 
weer zijn overschreden? Installeer 
dan de gratis tool NetLimiter 2 Mo- 
nitor — tenzij je 
opteert voor de commerciële vari- 
ant, die het onder meer ook mogelijk 
maakt dat je per toepassing een 
bandbreedtelimiet instelt. Na de in- 
stallatie nestelt de tool zich in je 
taakbalk. Met een dubbelklik roep je 
het hoofdvenster op en zie je voor 
elke applicatie afzonderlijk het ge- 
genereerde netwerkverkeer, zowel 
inkomend als uitgaand. Het programma houdt echter ook nauwgezet een 
logboek bij van al dit netwerkverkeer. Open hiervoor het menu Vrew en 
kies Aut Toots, Stars. Je krijgt dan een gedetailleerd overzicht van het 
aantal ontvangen en verstuurde gegevens over een instelbare periode, 
zowel binnen je eigen netwerkje als tussen je pc en het internet. 


Waar gaan al die bitjes heen? 
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VAKTAAL 


COOKIE: Als je bepaalde web- 
sites bezoekt, krijg je soms on- 
gemerkt een cookie op je harde 
schijf. Dat is een onschuldig 
klein tekstbestandje dat in- 
formatie bevat over je bezoek, 
zoals taalvoorkeur, gebruikers- 
naam, datum van je laatste be- 
zoek, enzovoort. Op die manier 
‘onthoudt’ de website je vorige 
bezoekje en moet je niet bij elk 
bezoek alle gegevens opnieuw 
ingeven. 


B GE lane Pex 


Antimalware dad 


Van een firewall naar antimalwaretools is maar een kleine 
stap. Beginnen we met antivirusprogramma’s. Standaard 
voorziet Windows niet in zo’n tool, maar er bestaan genoeg 
commerciële en zelfs gratis alternatieven. Tot deze laatste 
categorie horen onder meer PC Tools AntiVirus www.pctools. 
com, AVG Anti-Virus www.grisoft.com, Avira AntiVir Personal 
www.avira.com en avast! Home Edition www.avast.com. De mees- 
te van deze tools houden op zijn minst een lijst bij met de 
bedreigingen die werden gedetecteerd, evenals de handeling 
die het programma vervolgens heeft uitgevoerd — al dan niet 
na jouw tussenkomst. Zo kan de toepassing het virus verwij- 
deren, het verdachte bestand compleet vernietigen of het in 
quarantaine plaatsen. 

Bij deze laatste optie kan het best interessant zijn om er 
regelmatig het quarantaine-logboek op na te slaan en de 
items op een later tijdstip nogmaals aan een scanronde te 
onderwerpen. Het is namelijk niet uitgesloten dat de antivi- 
rustool dankzij een update intussen wel over de nodige ken- 
nis beschikt om de gewraakte bestanden van hun infectie te 
ontdoen, zodat ze weer bruikbaar worden. 

Naast specifieke antivirustools zijn er ook tools die zich meer 
richten op andere vormen van malware, waaronder Tro- 
jaanse paarden en venijnige spyware. Zo tref je in Vista de 
tool Windows Defender aan — XP-gebruikers kunnen die altijd 
nog gratis downloaden via www.tinyurl.com/defenderspyware. 
Ook dit programma houdt een geschiedenis bij, die zich laat 
openen via de gelijknamige optie in het hoofdvenster. Net 
als bij antivirusprogramma’s tref je hier ook een link aan 
naar ÎTEMs IN QUARANTAINE. Heb je bijvoorbeeld per ongeluk een 
programma in quarantaine gestopt, dan kan je die actie hier 
alsnog ongedaan maken of het item definitief vernietigen. 


HIJACKTHIS 

Soms weet een stukje malware toch in je systeem door te 
dringen: je merkt bijvoorbeeld dat er ongevraagd allerlei ven- 
sters in je browser en/of op je bureaublad opduiken. Krijg je 
het onding maar niet weg, dan kan je nog de hulp van een 
gespecialiseerde tool inroepen, zoals het gratis HijackThis www. 
trendsecure.com/portal/en-US/tools/security tools/hijackthis. Na in- 
stallatie druk je op de knop Do A SYSTEM SCAN AND SAVE A LOGFILE. 
Het resultaat is een logbestand met wellicht vele tientallen 


Toste 


24-12-2008 20-02:11 
26-12-2008 20-02:11 
26-12-2008 20-02:11 
24-12-2008 12=43:24 
24-12-2008 12245:20 
Enda kkk 


Quarantine 


Def [armere J PEDHEXERE 


EERE EEEN 


[oate 


DD 24-12-2008 12:45:20 
À) 24-12-2008 12:41 
B ze-rzenos 12:4324 Tatzer 


Check regelmatig de inhoud van de quarantaine (hier: Symantec AntiVirus). 
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Het resultaat van een geautomatiseerde, online analyse met HijackThis. 


items, waarvan de meeste door een code voorafgegaan worden 
(zoals Ro of F2). De precieze betekenis van deze codes kom je 
te weten via de knop Inro. Je kan echter ook per geselecteerd 
item meer gedetailleerde informatie opvragen met de knop 
InFo on sELECTED ITEM. Als je hierover inderdaad feedback krijgt, 
lees je normaliter ook af wat de tool standaard met dit item 
doet wanneer je de knop Fix cHecken zou indrukken. Let wel: 
heel vaak wordt het gewoon uit je systeem verwijderd! Wees 
dus zeker van je zaak vooraleer je deze knop indrukt. Veilig- 
heidshalve doe je er wellicht beter aan het complete logboek 
in het online document van www.hijackthis.de te plakken of het 
logbestand naar deze stek te uploaden. Deze gratis service 
analyseert het bestand dan meteen en geeft je per item even- 
tueel ook een indicatie, gebaseerd op het oordeel van andere 
gebruikers. Of je plakt de inhoud van het logbestand in een 
gespecialiseerd gebruikersforum, bijvoorbeeld op www.hijackthis. 
nl/forum. Het is lang niet uitgesloten dat je hier de nodige in- 
formatie vergaart om de onverlaat toch weer uit je systeem 
te kunnen kieperen. « 


Hetjaer des Hoeren 1653, vegae 15 SS 40 
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